The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Представлен capsudo, вариант sudo с разделением полномочий на уровне объектов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлен capsudo, вариант sudo с разделением полномочий на уровне объектов"  +/
Сообщение от opennews (??), 13-Дек-25, 12:40 
Ариадна Конилл (Ariadne Conill), создатель музыкального проигрывателя Audacious и композитного сервера Wayback, инициатор разработки протокола IRCv3 и лидер команды по обеспечению безопасности Alpine Linux, развивает инструментарий capsudo для выполнению команд с повышенными привилегиями. В отличие от sudo в новом проекте задействована модель предоставления полномочий на уровне отдельных объектов (object-capability). Код проекта написан на языке Си и распространяется под лицензией MIT...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=64420

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +6 +/
Сообщение от Аноним (1), 13-Дек-25, 12:40 
Но зачем?
Ответить | Правка | Наверх | Cообщить модератору

2. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +5 +/
Сообщение от Аноним (2), 13-Дек-25, 12:42 
Ну а почему бы и нет?
Ответить | Правка | Наверх | Cообщить модератору

3. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +15 +/
Сообщение от Аноним (1), 13-Дек-25, 12:44 
Действительно, зря быканул.
Ответить | Правка | Наверх | Cообщить модератору

13. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Кошкажена (?), 13-Дек-25, 14:33 
Можно, а зачем? (с)
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

33. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (33), 13-Дек-25, 15:53 
> создатель музыкального проигрывателя

Вот что бывает, когда музыканты лезут в систему.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

40. "Представлен capsudo, вариант sudo с разделением полномочий н..."  –1 +/
Сообщение от Аноним (1), 13-Дек-25, 16:49 
>музыканты лезут в систему

Кхем, Вагнер?

Ответить | Правка | Наверх | Cообщить модератору

45. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (45), 13-Дек-25, 17:54 
> Вот что бывает, когда музыканты лезут в систему.

Это Ариадна - на минуточку - security officer Alpine Linux. Так что в безопасности систем оно знает толк.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

47. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +5 +/
Сообщение от Аноним (1), 13-Дек-25, 18:03 
Там у этого персонаж(ки)а проблемы с головой, так-то.
Ответить | Правка | Наверх | Cообщить модератору

58. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (33), 13-Дек-25, 20:34 
> Alpine Linux

теперь всё понятно. Сразу в блэклист.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

61. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (61), 13-Дек-25, 21:16 
Этот дистр не хопим.
Ответить | Правка | Наверх | Cообщить модератору

4. "Представлен capsudo, вариант sudo с разделением полномочий н..."  –2 +/
Сообщение от Аноним (4), 13-Дек-25, 12:59 
На замену sudo есть run0.
Вот людям неймется. Уж лучше бы wayback доделывал.
Ответить | Правка | Наверх | Cообщить модератору

6. "Представлен capsudo, вариант sudo с разделением полномочий н..."  –4 +/
Сообщение от Аноним (6), 13-Дек-25, 13:07 
а на замену run0 есть безопасный sudo-rs
Ответить | Правка | Наверх | Cообщить модератору

9. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +3 +/
Сообщение от Kilrathi (ok), 13-Дек-25, 13:16 
А умеющие читать и писать просто пропишут нужные пользователю команды в sudoers.d
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

23. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от User (??), 13-Дек-25, 14:52 
И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".
Ответить | Правка | Наверх | Cообщить модератору

32. "Представлен capsudo, вариант sudo с разделением полномочий н..."  –1 +/
Сообщение от Kilrathi (ok), 13-Дек-25, 15:26 
> И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".

Зависит от того на что выдавать. Если на /sbin/reboot, который без рута не подменить - это вряд ли.
А если на /usr/local/mc - то без разницы чем выдавать привилегии запуска: через sudo, doas, capsudo или run0.


Ответить | Правка | Наверх | Cообщить модератору

48. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от User (??), 13-Дек-25, 18:30 
>> И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".
> Зависит от того на что выдавать. Если на /sbin/reboot, который без рута
> не подменить - это вряд ли.
> А если на /usr/local/mc - то без разницы чем выдавать привилегии запуска:
> через sudo, doas, capsudo или run0.

В последнем cve даже и "давать" ничего не требовалось, ага

Ответить | Правка | Наверх | Cообщить модератору

56. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (56), 13-Дек-25, 20:01 
В прошедшем времени. А в "заменителях" всё ещё только впереди.
Ответить | Правка | Наверх | Cообщить модератору

5. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +7 +/
Сообщение от Аноним (5), 13-Дек-25, 13:04 
давайте напишем системный демон и запустим от рута, осталось только прикрутить сеть и выставить голой опой, и вуаля хороший судо, запускай хоть с марса :) оригинально
Ответить | Правка | Наверх | Cообщить модератору

7. "Представлен capsudo, вариант sudo с разделением полномочий н..."  –1 +/
Сообщение от Аноним (7), 13-Дек-25, 13:08 
Принцип KISS (Keep it simple, stupid) в лучших проявлениях. Но не взлетит, так как не дело  по отдельному демону на каждую команду в памяти держать, а создание одного общего диспетчера сведёт на нет всю простоту и приведёт к появлению ещё одного Polkit.
Ответить | Правка | Наверх | Cообщить модератору

8. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +4 +/
Сообщение от Аноним (6), 13-Дек-25, 13:10 
Когда будет Линпус проржавеет, то все эти костыли будут не нужны. Можно сидеть под рутом в полноой безопасносте!
Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором  +/
Сообщение от Аноним (-), 13-Дек-25, 14:34 
Ответить | Правка | Наверх | Cообщить модератору

11. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +1 +/
Сообщение от Аноним (11), 13-Дек-25, 13:59 
Капитан Судо
Ответить | Правка | Наверх | Cообщить модератору

12. Скрыто модератором  +/
Сообщение от Аноним (-), 13-Дек-25, 14:33 
Ответить | Правка | Наверх | Cообщить модератору

15. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +2 +/
Сообщение от 12yoexpert (ok), 13-Дек-25, 14:36 
> Ариадна Конилл (Ariadne Conill), создатель

"создательница", поправьте

Ответить | Правка | Наверх | Cообщить модератору

18. "Представлен capsudo, вариант sudo с разделением полномочий н..."  –1 +/
Сообщение от mos87 (ok), 13-Дек-25, 14:48 
жыр
Ответить | Правка | Наверх | Cообщить модератору

21. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +1 +/
Сообщение от 12yoexpert (ok), 13-Дек-25, 14:49 
полноватая, но тем не менее
Ответить | Правка | Наверх | Cообщить модератору

28. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (28), 13-Дек-25, 15:17 
Не понял член есть или нет?
Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором  +/
Сообщение от Аноним (30), 13-Дек-25, 15:21 
Ответить | Правка | Наверх | Cообщить модератору

50. Скрыто модератором  +/
Сообщение от Аноним (50), 13-Дек-25, 18:52 
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

16. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от mos87 (ok), 13-Дек-25, 14:45 
>Ariadne Conill

Not local! Not a no-tail! ЕВПОЧЯ

Ответить | Правка | Наверх | Cообщить модератору

17. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +2 +/
Сообщение от mos87 (ok), 13-Дек-25, 14:47 
Из недостатков sudo ... недекларативный формат конфигурации

>чтобы повторить поведение sudo и разрешить выполнение с повышенными >привилегиями любых приложений для пользователей, входящих в группу >wheel, можно использовать следующие настройки:
>
>
>   # mkdir -p /run/cap
>   # capsudod -s /run/cap/sudo-capability &
>   # chgrp wheel /run/cap/sudo-capability
>   # chmod 770 /run/cap/sudo-capability
>  
>   $ capsudo -s /run/cap/sudo-capability

Ответить | Правка | Наверх | Cообщить модератору

52. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от пох. (?), 13-Дек-25, 19:01 
В общем, у альпайна похоже все плохо с безопасностью.
(конечно, от недолинукса для запуска в докере под докером никто и не ждал, но все же...)

Да, с форматом конфигурации тут просто все прекрасно - как после этого выяснить кому и что мы наразрешали - искать по всей системе стремные сокеты?

Про то что в этом наборе команд race condition - щпециалист(ка?) по безопастносте похоже даже не знает.
(ага, чмод. После создания. И что же мне помешало уже открыть этот сокет, пока шпециалистко крашенными когтями свой чмод набирает? Отдельный вопрос кто их учил давать права на исполнение - сокетам?)

Ответить | Правка | Наверх | Cообщить модератору

20. Скрыто модератором  +/
Сообщение от Аноним (20), 13-Дек-25, 14:49 
Ответить | Правка | Наверх | Cообщить модератору

25. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (25), 13-Дек-25, 14:55 
> Например, чтобы предоставить какому-то пользователю возможность запуска утилиты reboot с повышенными привилегиями, администратор может

написать в doas.conf:

permit user1 as root cmd reboot

Ответить | Правка | Наверх | Cообщить модератору

29. "Представлен capsudo, вариант sudo с разделением полномочий н..."  –1 +/
Сообщение от Аноним (28), 13-Дек-25, 15:18 
У меня почему-то doas не работал. Вернулся обратно на sudo.
Ответить | Правка | Наверх | Cообщить модератору

35. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Frestein (ok), 13-Дек-25, 16:03 
Хорошо, держи в курсе.
Ответить | Правка | Наверх | Cообщить модератору

41. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +1 +/
Сообщение от scriptkiddis (?), 13-Дек-25, 16:55 
Хорошо, держу в курсе.
Ответить | Правка | Наверх | Cообщить модератору

46. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (-), 13-Дек-25, 18:02 
Не проблема. Я могу рассказать, что я не пробовал ни doas, ни sudo и они никогда у меня не работали поэтому. Тебе всё ещё интересно? Я могу ещё рассказать про утилиты из coreutils, которые я использовал и которые я считаю лишними там.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

44. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (44), 13-Дек-25, 17:51 
У sudo раздутая кодовая база, поэтому надо сделать отдельного демона, который будет делать всё то же самое, плюс ещё тащить в себе код для обмена данными через сокет, и к нему ещё клиентскую утилиту.
> Только пользователи, имеющие доступ к сокету, могут выполнять привязанные к сокету привилегированные команды.

И чем это лучше suid-root процесса, который проверяет "кто меня запустил"?
> администратор может создать в домашнем каталоге заданного пользователя сокет "reboot-capability", привязать его к запуску утилиты reboot и на уровне прав доступа разрешить запись в сокет только необходимому пользователю. После этого данный пользователь сможет запустить команду reboot, выполнив "capsudo -s reboot-capability".

То есть, кроме нового геморроя с сокетами для админа, ещё и юзверям переучиваться вместо привычных утилит запускать какую-то новую хрень (или держать актуальный список алиасов в rc'шнике).

Ответить | Правка | Наверх | Cообщить модератору

49. "Представлен capsudo, вариант sudo с разделением полномочий н..."  –1 +/
Сообщение от Karlemail (ok), 13-Дек-25, 18:35 
Ну вот ЗАЧЕМ??? В принципе sudo есть зло абсолютное! Его не должно существовать! Жили без него - отлично.

Всегда юзер должен быть юзер, админ должен быть админ

И никакого "повышения полномочий"! Это ИЗВРАЩЕНИЕ, как зараза подхваченное у Микрософта

Ответить | Правка | Наверх | Cообщить модератору

51. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (50), 13-Дек-25, 18:56 
Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db. Рассказывай, как без механизмов повышения привилегий это сделать.
Ответить | Правка | Наверх | Cообщить модератору

54. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Karlemail (ok), 13-Дек-25, 19:18 
> Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db.
> Рассказывай, как без механизмов повышения привилегий это сделать.

dba может иметь разные значения, среди них:
a) Доктор делового администрирования (англ. Doctor of Business Administration).
b) Администратор баз данных (англ. Database administrator).
c) dBA — единица измерения громкости звука.
d) DBA (Disc Brakes Australia) — австралийский производитель тормозных дисков для легковых автомобилей.
e) DBA (Double Bend Achromat) — тип фокусирующей структуры синхротронов.
f) DarkBASIC (.dba формат) — компьютерный язык и связанная с ним среда программирования, предназначенные для упрощения создания 3D-видеоигр.
g) Dallas Bar Association — профессиональная организация для юристов в Далласе, Техас, США.
h) The Barge Association, ранее «Dutch Barge Association» (DBA) — клуб для любителей отдыха на внутренних водных путях Европы

Вы сейчас о чём? О правах на СУБД? Ну так и говорите. Причём тут именно повышение прав? Или вы ни в одной нормальной Unix+ OS не работали, кроме Mint?

Ответить | Правка | Наверх | Cообщить модератору

59. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (59), 13-Дек-25, 20:41 
Из контекста же прекрасно понятно о чем речь. Если только вы не самозванец.
Ответить | Правка | Наверх | Cообщить модератору

64. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Karlemail (ok), 13-Дек-25, 21:55 
> Из контекста же прекрасно понятно о чем речь. Если только вы не
> самозванец.

Было бы понятно, не спрашивал бы уточнения

Ответить | Правка | Наверх | Cообщить модератору

57. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (56), 13-Дек-25, 20:12 
На утилиту бэкапа - CAP_DAC_READ_SEARCH (https://www.man7.org/linux/man-pages/man7/capabilities.7.html)
Плюс, DAC/ACL для ограничения доступа пользователей к утилите.
Желательно, чтобы у утилиты не было доступа к сети, и она писала бэкап локально в единственную доступную для записи директорию. Откуда готовый (шифрованный) бэкап разносился на резервные (удаленные) сервисы другой утилитой сетевого копирования (rsync/rclone), у которой на локальной машине чтение и запись также ограничены.
Ещё больше обезопасить утилиты можно, применяя landlock в их коде.

Но и у sudo пока есть своя ниша.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

62. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (44), 13-Дек-25, 21:19 
> dba
> db

Раздвоеие личности надо лечить, а не обмазываться паллиативами типа sudo.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

55. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +1 +/
Сообщение от Аноним (55), 13-Дек-25, 19:38 
>Всегда ... админ должен быть админ
>И никакого "повышения полномочий"!

Абсолютное непонимание базовых основ безопасности!
Запомните, юноша, админ (человек) основную часть времени *должен* работать как простой юзер (без превилегий) и только в самых *необходимых* случаях повышать привилегии до админа.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

63. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Аноним (44), 13-Дек-25, 21:23 
> повышать привилегии до админа

su

Ответить | Правка | Наверх | Cообщить модератору

65. "Представлен capsudo, вариант sudo с разделением полномочий н..."  +/
Сообщение от Karlemail (ok), 13-Дек-25, 22:00 
>>Всегда ... админ должен быть админ
>>И никакого "повышения полномочий"!
> Абсолютное непонимание базовых основ безопасности!
> Запомните, юноша, админ (человек) основную часть времени *должен* работать как простой
> юзер (без превилегий) и только в самых *необходимых* случаях повышать привилегии
> до админа.

Деточка, конечно мне приятно, что какое-то АНОНИМНОЕ ХАМЛО меня на четвёртом десятке лет администрирования различных операционных систем называют "юношей", но это отнюдь не свидетельствует о понимании вами сути обсуждаемого вопроса

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

60. "Представлен capsudo, вариант sudo с разделением полномочий н..."  –1 +/
Сообщение от Аноним (61), 13-Дек-25, 21:15 
Хотят сделать как в винде. То есть, по умному.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру